Microsoft Entra-verificatie inschakelen voor Azure SSIS Integration Runtime
VAN TOEPASSING OP: 
Azure Data Factory Azure Synapse Analytics (preview)
Tip
Probeer Data Factory uit in Microsoft Fabric, een alles-in-één analyseoplossing voor ondernemingen. Microsoft Fabric omvat alles, van gegevensverplaatsing tot gegevenswetenschap, realtime analyses, business intelligence en rapportage. Meer informatie over het gratis starten van een nieuwe proefversie .
In dit artikel leest u hoe u Microsoft Entra-verificatie inschakelt met de opgegeven door het systeem/de gebruiker toegewezen beheerde identiteit voor uw Azure Data Factory (ADF) of Azure Synapse en deze gebruikt in plaats van conventionele verificatiemethoden (zoals SQL-verificatie) om:
Maak een Azure-SSIS Integration Runtime (IR) die namens u de SSIS-catalogusdatabase (SSISDB) inricht in Azure SQL Database Server/Managed Instance.
Maak verbinding met verschillende Azure-resources bij het uitvoeren van SSIS-pakketten in Azure-SSIS IR.
Zie Beheerde identiteit voor Data Factory en Azure Synapse voor meer informatie over de beheerde identiteit voor uw ADF.
Notitie
In dit scenario wordt Microsoft Entra-verificatie met de opgegeven door het systeem/gebruiker toegewezen beheerde identiteit voor uw ADF alleen gebruikt in de inrichtings- en volgende startbewerkingen van uw Azure-SSIS IR die op zijn beurt wordt ingericht en of verbinding maakt met SSISDB. Voor uitvoeringen van SSIS-pakketten maakt uw Azure-SSIS IR nog steeds verbinding met SSISDB om pakketten op te halen met behulp van SQL-verificatie met volledig beheerde accounts (AzureIntegrationServiceDbo en AzureIntegrationServiceWorker) die zijn gemaakt tijdens het inrichten van SSISDB.
Als u de functie voor door de gebruiker toegewezen beheerde identiteit van verbindingsbeheer wilt gebruiken, moet OLEDB-verbindingsbeheer bijvoorbeeld worden ingericht met dezelfde door de gebruiker toegewezen beheerde identiteit die wordt gebruikt in verbindingsbeheer.
Als u uw Azure-SSIS IR al hebt gemaakt met behulp van SQL-verificatie, kunt u deze op dit moment niet opnieuw configureren voor het gebruik van Microsoft Entra-verificatie via PowerShell, maar u kunt dit doen via de Azure-portal/ADF-app.
Notitie
Het wordt aanbevolen de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.
Microsoft Entra-verificatie inschakelen in Azure SQL Database
Azure SQL Database biedt ondersteuning voor het maken van een database met een Microsoft Entra-gebruiker. Eerst moet u een Microsoft Entra-groep maken met de opgegeven door het systeem/gebruiker toegewezen beheerde identiteit voor uw ADF als lid. Vervolgens moet u een Microsoft Entra-gebruiker instellen als Active Directory-beheerder voor uw Azure SQL Database-server en vervolgens verbinding maken met deze gebruiker in SQL Server Management Studio (SSMS). Ten slotte moet u een ingesloten gebruiker maken die de Microsoft Entra-groep vertegenwoordigt, zodat de opgegeven door het systeem/door de gebruiker toegewezen beheerde identiteit voor uw ADF kan worden gebruikt door Azure-SSIS IR om namens u SSISDB te maken.
Een Microsoft Entra-groep maken met de opgegeven door het systeem/door de gebruiker toegewezen beheerde identiteit voor uw ADF als lid
U kunt een bestaande Microsoft Entra-groep gebruiken of een nieuwe groep maken met behulp van Azure AD PowerShell.
Installeer de Azure AD PowerShell-module .
Meld u aan met behulp van
Connect-AzureAD, voer de volgende cmdlet uit om een groep te maken en sla deze op in een variabele:$Group = New-AzureADGroup -DisplayName "SSISIrGroup" ` -MailEnabled $false ` -SecurityEnabled $true ` -MailNickName "NotSet"Notitie
Azure AD- en MSOnline PowerShell-modules zijn vanaf 30 maart 2024 afgeschaft. Lees de afschaffingsupdate voor meer informatie. Na deze datum is ondersteuning voor deze modules beperkt tot migratieondersteuning voor Microsoft Graph PowerShell SDK en beveiligingsoplossingen. De afgeschafte modules blijven functioneren tot en met 30 maart 2025.
Het is raadzaam om te migreren naar Microsoft Graph PowerShell om te communiceren met Microsoft Entra ID (voorheen Azure AD). Raadpleeg de veelgestelde vragen over migratie voor veelgestelde vragen over migratie. Opmerking: versies 1.0.x van MSOnline kunnen na 30 juni 2024 onderbrekingen ondervinden.
Het resultaat ziet eruit als in het volgende voorbeeld, waarin ook de variabelewaarde wordt weergegeven:
$Group ObjectId DisplayName Description -------- ----------- ----------- 6de75f3c-8b2f-4bf4-b9f8-78cc60a18050 SSISIrGroupVoeg de opgegeven door het systeem/door de gebruiker toegewezen beheerde identiteit voor uw ADF toe aan de groep. U kunt de beheerde identiteit voor Data Factory of Azure Synapse volgen om de object-id op te halen van de opgegeven door het systeem/door de gebruiker toegewezen beheerde identiteit voor uw ADF (bijvoorbeeld aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb, maar gebruik hiervoor niet de toepassings-id).
Add-AzureAdGroupMember -ObjectId $Group.ObjectId -RefObjectId aaaaaaaa-0000-1111-2222-bbbbbbbbbbbbU kunt daarna ook het groepslidmaatschap controleren.
Get-AzureAdGroupMember -ObjectId $Group.ObjectId
Microsoft Entra-verificatie configureren voor Azure SQL Database
U kunt Microsoft Entra-verificatie voor Azure SQL Database configureren en beheren met behulp van de volgende stappen:
Selecteer in De Azure-portal alle services -> SQL-servers in de linkernavigatiebalk.
Selecteer uw Azure SQL Database-server die moet worden geconfigureerd met Microsoft Entra-verificatie.
Selecteer Active Directory-beheerder in de sectie Instellingen van de blade.
Selecteer Beheerder instellen in de opdrachtbalk.
Selecteer een Microsoft Entra-gebruikersaccount dat moet worden gemaakt als beheerder van de server en selecteer vervolgens Selecteren.
Selecteer Opslaan op de opdrachtbalk.
Een ingesloten gebruiker maken in Azure SQL Database die de Microsoft Entra-groep vertegenwoordigt
Voor deze volgende stap hebt u SSMS nodig.
Start SSMS.
Voer in het dialoogvenster Verbinding maken met server de servernaam in het veld Servernaam in.
Selecteer In het veld Verificatie Active Directory - Universeel met MFA-ondersteuning (u kunt ook de andere twee Active Directory-verificatietypen gebruiken, zie Microsoft Entra-verificatie configureren en beheren voor Azure SQL Database).
Voer in het veld Gebruikersnaam de naam in van het Microsoft Entra-account dat u hebt ingesteld als serverbeheerder, bijvoorbeeld testuser@xxxonline.com.
Selecteer Verbinding maken en voltooi het aanmeldingsproces.
Vouw in het Objectverkenner de map Databases ->System Databases uit.
Klik met de rechtermuisknop op de hoofddatabase en selecteer Nieuwe query.
Voer in het queryvenster de volgende T-SQL-opdracht in en selecteer Uitvoeren op de werkbalk.
CREATE USER [SSISIrGroup] FROM EXTERNAL PROVIDERDe opdracht moet zijn voltooid, waardoor een ingesloten gebruiker wordt gemaakt die de groep vertegenwoordigt.
Wis het queryvenster, voer de volgende T-SQL-opdracht in en selecteer Uitvoeren op de werkbalk.
ALTER ROLE dbmanager ADD MEMBER [SSISIrGroup]De opdracht moet zijn voltooid, zodat de ingesloten gebruiker de mogelijkheid heeft om een database (SSISDB) te maken.
Als uw SSISDB is gemaakt met behulp van SQL-verificatie en u wilt overschakelen naar Microsoft Entra-verificatie voor uw Azure-SSIS IR voor toegang, moet u eerst controleren of de bovenstaande stappen om machtigingen te verlenen aan de hoofddatabase zijn voltooid. Klik vervolgens met de rechtermuisknop op de SSISDB-database en selecteer Nieuwe query.
Voer in het queryvenster de volgende T-SQL-opdracht in en selecteer Uitvoeren op de werkbalk.
CREATE USER [SSISIrGroup] FROM EXTERNAL PROVIDERDe opdracht moet zijn voltooid, waardoor een ingesloten gebruiker wordt gemaakt die de groep vertegenwoordigt.
Wis het queryvenster, voer de volgende T-SQL-opdracht in en selecteer Uitvoeren op de werkbalk.
ALTER ROLE db_owner ADD MEMBER [SSISIrGroup]De opdracht moet zijn voltooid, zodat de ingesloten gebruiker toegang heeft tot SSISDB.
Microsoft Entra-verificatie inschakelen in Azure SQL Managed Instance
Azure SQL Managed Instance biedt ondersteuning voor het rechtstreeks maken van een database met de opgegeven door het systeem/de gebruiker toegewezen beheerde identiteit voor uw ADF. U hoeft de opgegeven door het systeem/door de gebruiker toegewezen beheerde identiteit voor uw ADF niet toe te voegen aan een Microsoft Entra-groep of een ingesloten gebruiker te maken die die groep vertegenwoordigt in Azure SQL Managed Instance.
Microsoft Entra-verificatie configureren voor Azure SQL Managed Instance
Volg de stappen in Een Microsoft Entra-beheerder inrichten voor Azure SQL Managed Instance.
De opgegeven door het systeem/de gebruiker toegewezen beheerde identiteit voor uw ADF of Azure Synapse toevoegen als gebruiker in Azure SQL Managed Instance
Voor deze volgende stap hebt u SSMS nodig.
Start SSMS.
Maak verbinding met Azure SQL Managed Instance met behulp van een SQL Server-account dat een sysadmin is. Dit is een tijdelijke beperking die wordt verwijderd zodra de ondersteuning voor Microsoft Entra-server-principals (aanmeldingen) in Azure SQL Managed Instance algemeen beschikbaar is. U ziet de volgende fout als u probeert een Microsoft Entra-beheerdersaccount te gebruiken om de aanmelding te maken: Msg 15247, Niveau 16, Status 1, Regel 1 Gebruiker is niet gemachtigd om deze actie uit te voeren.
Vouw in het Objectverkenner de map Databases ->System Databases uit.
Klik met de rechtermuisknop op de hoofddatabase en selecteer Nieuwe query.
Voer in het queryvenster het volgende T-SQL-script uit om de opgegeven door het systeem/door de gebruiker toegewezen beheerde identiteit voor uw ADF toe te voegen als gebruiker.
CREATE LOGIN [{your managed identity name}] FROM EXTERNAL PROVIDER ALTER SERVER ROLE [dbcreator] ADD MEMBER [{your managed identity name}] ALTER SERVER ROLE [securityadmin] ADD MEMBER [{your managed identity name}]Als u de door het systeem beheerde identiteit voor uw ADF gebruikt, moet de naam van uw beheerde identiteit uw ADF-naam zijn. Als u een door de gebruiker toegewezen beheerde identiteit voor uw ADF gebruikt, moet de naam van uw beheerde identiteit de opgegeven door de gebruiker toegewezen beheerde identiteit zijn.
De opdracht moet zijn voltooid, waarbij de door het systeem/de gebruiker toegewezen beheerde identiteit voor uw ADF de mogelijkheid heeft om een database (SSISDB) te maken.
Als uw SSISDB is gemaakt met behulp van SQL-verificatie en u wilt overschakelen naar Microsoft Entra-verificatie voor uw Azure-SSIS IR voor toegang, moet u eerst controleren of de bovenstaande stappen om machtigingen te verlenen aan de hoofddatabase zijn voltooid. Klik vervolgens met de rechtermuisknop op de SSISDB-database en selecteer Nieuwe query.
Voer in het queryvenster de volgende T-SQL-opdracht in en selecteer Uitvoeren op de werkbalk.
CREATE USER [{your managed identity name}] FOR LOGIN [{your managed identity name}] WITH DEFAULT_SCHEMA = dbo ALTER ROLE db_owner ADD MEMBER [{your managed identity name}]De opdracht moet zijn voltooid, waarbij de door het systeem/de gebruiker toegewezen beheerde identiteit voor uw ADF de mogelijkheid heeft om toegang te krijgen tot SSISDB.
Azure-SSIS IR inrichten in Azure Portal/ADF-app
Wanneer u uw Azure-SSIS IR inricht in Azure Portal/ADF-app, schakelt u op de pagina Implementatie-instellingen de SSIS-catalogus (SSISDB) maken in die wordt gehost door Azure SQL Database Server/Managed Instance om uw projecten/pakketten/omgevingen/uitvoeringslogboeken op te slaan en schakelt u het selectievakje Microsoft Entra-verificatie gebruiken in met de door het systeem beheerde identiteit voor Data Factory of Microsoft Entra-verificatie gebruiken met een door de gebruiker toegewezen beheerde identiteit voor Data Factory Schakel het selectievakje in om microsoft Entra-verificatiemethode voor Azure-SSIS IR te kiezen voor toegang tot uw databaseserver die als host fungeert voor SSISDB.
Zie Een Azure-SSIS IR maken in ADF voor meer informatie.
Azure-SSIS IR inrichten met PowerShell
Ga als volgt te werk om uw Azure-SSIS IR in te richten met PowerShell:
Installeer de Azure PowerShell-module .
Stel in uw script geen parameter in
CatalogAdminCredential. Voorbeeld:Set-AzDataFactoryV2IntegrationRuntime -ResourceGroupName $ResourceGroupName ` -DataFactoryName $DataFactoryName ` -Name $AzureSSISName ` -Description $AzureSSISDescription ` -Type Managed ` -Location $AzureSSISLocation ` -NodeSize $AzureSSISNodeSize ` -NodeCount $AzureSSISNodeNumber ` -Edition $AzureSSISEdition ` -MaxParallelExecutionsPerNode $AzureSSISMaxParallelExecutionsPerNode ` -CatalogServerEndpoint $SSISDBServerEndpoint ` -CatalogPricingTier $SSISDBPricingTier Start-AzDataFactoryV2IntegrationRuntime -ResourceGroupName $ResourceGroupName ` -DataFactoryName $DataFactoryName ` -Name $AzureSSISName
SSIS-pakketten uitvoeren met behulp van Microsoft Entra-verificatie met de opgegeven door het systeem/de gebruiker toegewezen beheerde identiteit voor uw ADF
Wanneer u SSIS-pakketten uitvoert op Azure-SSIS IR, kunt u Microsoft Entra-verificatie gebruiken met de opgegeven door het systeem/de gebruiker toegewezen beheerde identiteit voor uw ADF om verbinding te maken met verschillende Azure-resources. Momenteel ondersteunen we Microsoft Entra-verificatie met de opgegeven door het systeem/de gebruiker toegewezen beheerde identiteit voor uw ADF op de volgende verbindingsbeheerders.